NAT Gateway:VPC NAT ゲートウェイと Express Connect 回線を用いたデータセンターと VPC の接続

シナリオ例

ある企業が中国 (上海) リージョンに Elastic Compute Service (ECS) インスタンスを含む VPC を保有しています。データセンターは仮想ボーダールータ (VBR) および Express Connect 回線を介して Alibaba Cloud に接続されており、Cloud Enterprise Network (CEN) が VPC とデータセンター間のトラフィックをルーティングしています。この構成において、ECS インスタンスとデータセンターのサーバーが静的なプライベート IP アドレスを用いて相互に通信できるようにすることが目標です。

以下の表は、この例におけるネットワークプランを示しています。ご要件に応じて独自の CIDR ブロックを計画し、重複しないようご注意ください。

前提条件

開始する前に、以下の条件を満たしていることを確認してください。

• 中国 (上海) リージョンにある VPC1 という名前の VPC で、ゾーン F に VSW1、ゾーン G に VSW2 の 2 つの vSwitch があります。詳細については、「VPC の作成と管理」をご参照ください。

  Enterprise Edition トランジットルーターを VPC に接続する前に、VPC には Enterprise Edition トランジットルーターをサポートするゾーンに少なくとも 1 つの vSwitch が存在し、かつその vSwitch に未使用の IP アドレスが 1 つ以上ある必要があります。上海のゾーン F およびゾーン G は Enterprise Edition トランジットルーターをサポートしています。

• VPC1 内に「NATVSW」という名前のトランジット vSwitch を、ゾーン H にデプロイしています。

• VSW1 の ECS1 と VSW2 の ECS2 という 2 つの ECS インスタンスに、アプリケーションがデプロイされています。 詳細については、「[カスタム起動] タブでインスタンスを作成する」をご参照ください。

• Express Connect 回線および中国（上海）リージョン内の VBR。詳細については、「クラシックモード」および「VBR の作成と管理」をご参照ください。

• CEN インスタンス。詳細については、「CEN インスタンスを作成する」をご参照ください。

• 中国 (上海) リージョンの Enterprise Edition トランジットルーター。詳細については、「トランジットルーター」をご参照ください。

概要

接続性を確立するには、以下のステップを実行してください。

1. トランジットルーターを VPC および VBR に接続し、データセンターと VPC 間のトラフィック経路を構築します。

2. VBR にデータセンターのサーバーを指すルートを追加します。

3. NATVSW 内に VPC NAT ゲートウェイを作成し、NAT 変換の起点とします。

4. VPC1 のシステムルートテーブルに、データセンター宛てのトラフィックを VPC NAT ゲートウェイへ向けるルートを追加します。

5. NATVSW 用のカスタムルートテーブルを作成し、VPC NAT ゲートウェイからトランジットルーターへのトラフィックを転送するルートを追加します。

6. SNAT エントリおよび DNAT エントリを作成し、NAT IP アドレスを用いた双方向アクセスを有効化します。

7. VPC1 を指すルートをオンプレミスゲートウェイデバイスに追加します。

8. ECS インスタンスとデータセンターのサーバー間の接続性をテストします。

ステップ 1：トランジットルーターを VPC および VBR に接続

トランジットルーターを VPC1 および VBR の両方に接続します。これにより、VPC とデータセンター間のネットワーク経路が確立されます。

1. CEN コンソール にログインします。

2. インスタンス ページで、CEN インスタンスの ID をクリックします。

3. 基本設定 ＞ トランジットルーター タブで、対象のトランジットルーターを特定し、接続の作成 をクリックします（操作 列）。

4. ピアネットワークインスタンスとの接続 ページで、VPC 接続のパラメーターを以下のように設定し、OK をクリックします。

   初回利用時、システムは自動的にサービスリンクロール「AliyunServiceRoleForCEN」を作成します。このロールにより、トランジットルーターは VPC の vSwitch 内に ENI を作成できます。詳細については、「AliyunServiceRoleForCEN」をご参照ください。

   パラメーター	説明
   インスタンスタイプ	VPC を選択します。
   リージョン	中国 (上海) を選択します。
   トランジットルーター	システムが選択されたリージョン内のトランジットルーターを自動的に表示します。
   リソース所有者 ID	現在のアカウント を選択します。
   課金方法	トランジットルーターはデフォルトで従量課金です。詳細については、「課金ルール」をご参照ください。
   ネットワークインスタンス	VPC1 を選択します。
   vSwitch	トランジットルーターをサポートするゾーンに最低 2 つの vSwitch を選択します。
   詳細設定	デフォルト設定のままとします：トランジットルーターのデフォルトルートテーブルへの自動関連付け、トランジットルーターのデフォルトルートテーブルへのシステムルートの自動アドバタイズ、VPC のすべてのルートテーブルへのトランジットルーターを指すルートの自動追加。

5. ピアネットワークインスタンスとの接続 ページで、接続の追加 をクリックします。

6. VBR 接続のパラメーターを以下のように設定し、OK をクリックします。

   パラメーター	説明
   インスタンスタイプ	仮想ボーダールータ (VBR) を選択します。
   リージョン	中国 (上海) を選択します。
   トランジットルーター	システムが選択されたリージョン内のトランジットルーターを自動的に表示します。
   リソース所有者 ID	現在のアカウント を選択します。
   ネットワークインスタンス	VBR1 を選択します。
   詳細設定	デフォルト設定のままとします：トランジットルーターのデフォルトルートテーブルへの関連付け、システムルートのトランジットルーターのデフォルトルートテーブルへの伝搬、VBR へのルートの伝搬。

両方の接続が作成されたら、VBR 詳細ページの [リージョン内接続] タブで確認します。詳細については、「ネットワークインスタンス接続の表示」をご参照ください。

ステップ 2：VBR にデータセンターを指すルートを追加

VBR にルートを追加し、データセンターのサーバー宛てのトラフィックを Express Connect 回線へ向けるようにします。

1. Express Connect コンソール にログインします。Cloud Enterprise Network コンソール

2. 上部ナビゲーションバーで、VBR がデプロイされているリージョンを選択します。左側ナビゲーションウィンドウで、仮想ボーダールータ (VBR) をクリックします。

3. 仮想ボーダールータ (VBR) ページで、VBR の ID をクリックします。

4. VBR 詳細ページで、ルート タブをクリックし、ルートの追加 をクリックします。

5. ルートの追加 パネルで、以下のパラメーターを設定し、OK をクリックします。

   パラメーター	説明
   次のホップのタイプ	物理接続インターフェイス を選択します。
   送信先 CIDR ブロック	172.16.10.137（データセンターのサーバー IP アドレス）を入力します。
   次のホップ	Express Connect 回線を選択します。

ステップ 3：VPC NAT ゲートウェイの作成

NATVSW 内に VPC NAT ゲートウェイを作成します。このゲートウェイは、SNAT および DNAT 変換に使用される NAT IP アドレスを提供します。

1. NAT Gateway コンソール にログインします。

2. 左側ナビゲーションウィンドウで、NAT Gateway ＞ VPC NAT ゲートウェイ を選択します。

3. VPC NAT ゲートウェイ ページで、VPC NAT ゲートウェイの作成 をクリックします。

4. VPC NAT ゲートウェイ（従量課金） ページで、以下のパラメーターを設定し、今すぐ購入 をクリックします。

   パラメーター	説明
   リージョン	中国 (上海) を選択します。
   VPC ID	VPC1 を選択します。ゲートウェイ作成後に、関連付けられた VPC を変更することはできません。
   ゾーン	ゾーン H（NATVSW がデプロイされているゾーン）を選択します。
   vSwitch ID	NATVSW を選択します。
   名前	VPC_NATGW を入力します。
   サービスリンクロール	初めて VPC NAT ゲートウェイまたはインターネット NAT ゲートウェイを利用する場合は、サービスリンクロールの作成 をクリックします。

5. 注文内容の確認 ページで、注文内容を確認し、利用規約に同意して、今すぐ有効化 をクリックします。

注文が完了しました。 と表示された時点で、VPC NAT ゲートウェイの作成が完了します。

ステップ 4：VPC1 のシステムルートテーブルにルートを追加

VPC1 のシステムルートテーブルに、データセンター宛てのトラフィックを VPC NAT ゲートウェイへ向けるルートを追加します。

1. VPC コンソール にログインします。

2. VPC ページで、VPC1 を見つけ、その ID をクリックします。

3. VPC 詳細ページで、リソース管理 タブをクリックし、ルートテーブル の下にある数字をクリックします。

4. ルートテーブル ページで、ルートテーブルタイプ が システム に設定されたルートテーブルを特定し、その ID をクリックします。

5. ルートテーブル詳細ページで、ルートエントリ一覧 ＞ カスタムルート をクリックし、ルートエントリの追加 をクリックします。

6. ルートエントリの追加 パネルで、以下のパラメーターを設定し、OK をクリックします。

   パラメーター	説明
   名前	VPCENTRY を入力します。
   送信先 CIDR ブロック	172.16.10.137（データセンターのサーバー IP アドレス）を入力します。
   次のホップのタイプ	NAT ゲートウェイ を選択します。
   NAT ゲートウェイ	VPC NAT ゲートウェイ（VPC_NATGW）を選択します。

ステップ 5：NATVSW 用のカスタムルートテーブルの作成

NATVSW 用のカスタムルートテーブルを作成し、VPC NAT ゲートウェイからトランジットルーターへトラフィックを転送するルートを追加します。これにより、VPC NAT ゲートウェイからデータセンターまでのルーティングパスが完成します。

サポートされているリージョンについては、「ルートテーブル」をご参照ください。

1. VPC コンソール にログインします。

2. 左側ナビゲーションウィンドウで、ルートテーブル をクリックします。

3. 上部ナビゲーションバーで、リージョンを選択します。

4. カスタムルートテーブルを作成し、NATVSW と関連付けます。

   1. ルートテーブル ページで、ルートテーブルの作成 をクリックします。

   2. 以下のパラメーターを設定し、OK をクリックします。

      パラメーター	説明
      リソースグループ	すべて を選択します。
      VPC	VPC1 を選択します。
      名前	NATVTB を入力します。
      説明	カスタム を入力します。

   3. 関連付け済み vSwitch タブをクリックし、vSwitch の関連付け をクリックします。

   4. vSwitch の関連付け ダイアログボックスで、NATVSW を選択し、OK をクリックします。

5. カスタムルートテーブルにルートを追加します。

   1. ルートテーブル ページで、カスタムルートテーブル（NATVTB）を特定し、その ID をクリックします。

   2. ルートエントリ一覧 ＞ カスタムルート をクリックし、ルートエントリの追加 をクリックします。

   3. ルートの追加 パネルで、以下のパラメーターを設定し、OK をクリックします。

      パラメーター	説明
      名前	VPCNATENTRY を入力します。
      送信先 CIDR ブロック	172.16.10.137（データセンターのサーバー IP アドレス）を入力します。
      次のホップのタイプ	トランジットルーター を選択します。
      トランジットルーター	トランジットルーター上の VPC1 接続を選択します。

ルーティングのまとめ

ステップ 1～5 の完了後に、以下の表に示すようにトラフィックが流れるようになります。次に進む前に、ルーティング構成が正しく設定されているか、この表を参考にして確認してください。

ステップ 6：SNAT エントリおよび DNAT エントリの作成

SNAT エントリを作成して ECS インスタンスがデータセンターのサーバーにアクセスできるようにし、DNAT エントリを作成してデータセンターのサーバーが ECS インスタンスにアクセスできるようにします。いずれも NAT IP アドレスを使用します。

1. NAT Gateway コンソール にログインします。

2. 左側ナビゲーションウィンドウで、NAT Gateway ＞ VPC NAT ゲートウェイ を選択します。

3. 上部ナビゲーションバーで、リージョンを選択します。

4. SNAT エントリを作成します。

   1. VPC NAT ゲートウェイ ページで、VPC_NATGW を見つけ、SNAT 管理 をクリックします（操作 列）。

   2. SNAT 管理 タブで、SNAT エントリの作成 をクリックします。

   3. 以下のパラメーターを設定し、OK をクリックします。

      パラメーター	説明
      SNAT エントリ	vSwitch を指定 を選択し、vSwitch の選択 ドロップダウンリストから VSW1 を選択します。vSwitch CIDR ブロック フィールドには、VSW1 の CIDR ブロックが表示されます。
      NAT IP アドレスの選択	デフォルトの NAT IP アドレスを選択します。
      エントリ名	SNAT エントリの名前を入力します。

5. DNAT エントリを作成します。

   1. VPC NAT ゲートウェイ ページに戻り、VPC_NATGW を見つけ、DNAT 管理 をクリックします（操作 列）。

   2. DNAT 管理 タブで、DNAT エントリの作成 をクリックします。

   3. 以下のパラメーターを設定し、OK をクリックします。

      パラメーター	説明
      NAT IP アドレスの選択	デフォルトの NAT IP アドレスを選択します。
      プライベート IP アドレスの選択	ECS または ENI から選択 を選択し、ECS1 のプライベート IP アドレスを選択します。
      ポート設定	特定のポート を選択します。 に 22[フロントエンドポート]22、バックエンドポート に 22 を入力し、プロトコル に TCP を選択します。
      エントリ名	DNAT エントリの名前を入力します。

ステップ 7：オンプレミスゲートウェイデバイスへのルート追加

オンプレミスゲートウェイデバイスに、VPC 宛てのトラフィックを VBR インターフェイスへ向けるルートを追加します。

ip route 192.168.0.0 255.255.0.0 10.0.0.2

このルートは参考用です。正確なコマンド構文は、ご利用のゲートウェイデバイスのベンダーによって異なります。

ステップ 8：接続性のテスト

ECS インスタンスがデータセンターのサーバーに到達できること、およびデータセンターのサーバーが ECS インスタンスに到達できることを検証します。

1. VSW1 の ECS1 にログインしてください。詳細については、「接続方法の概要」をご参照ください。

2. ECS1 からのアウトバウンド接続性を検証するために、データセンターのサーバーに対して PING を実行します。

   ping 172.16.10.137

   エコーリプライパケットを受信した場合、ECS1 はデータセンターのサーバーに到達可能です。

3. データセンターのサーバーにログインし、以下のコマンドを実行してインバウンド接続性を検証します。IP アドレスは、VPC NAT ゲートウェイのデフォルト NAT IP アドレスに置き換えてください。

   ssh 192.168.3.132

   ECS1 のパスワードを入力します。ログインが成功した場合、データセンターのサーバーは ECS1 に到達可能です。

いずれかのテストが失敗した場合、上記のルーティングのまとめを参照して、すべてのルートが正しく設定されているか確認し、SNAT エントリおよび DNAT エントリの状態が 利用可能 であることも確認してください。

次のステップ

• 追加の ECS インスタンスがデータセンターにアクセスできるようにするには、対応する vSwitch を指定した追加の SNAT エントリを作成します。

• データセンターが追加の ECS インスタンスにアクセスできるようにするには、適切なプライベート IP アドレスおよびポートマッピングを指定した追加の DNAT エントリを作成します。

• VPC NAT ゲートウェイを通過するトラフィックをモニターするには、NAT Gateway コンソールでフローログを有効化します。